Ny vulnerability ao amin'ny NPM izay mamela ny rakitra tsy misy dikany hovana mandritra ny fametrahana fonosana

Ao amin'ny fanavaozana ny mpitantana fonosana NPM 6.13.4, tafiditra ao amin'ny fizarana Node.js ary ampiasaina amin'ny fizarana modules amin'ny fiteny JavaScript, intsony vulnerability telo (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), izay mamela ny fisie rafitra tsy misy dikany mba hovana na hosoloina rehefa mametraka fonosana nomanin'ny mpanafika. Amin'ny maha-fiarovana azy dia azonao atao ny mametraka azy amin'ny safidy "-ignore-scripts", izay mandrara ny famonoana ireo fonosana mpandrindra naorina. Nandinika ireo fonosana misy ao amin'ny tahiry ireo mpamorona NPM ary tsy nahita soritra ny olana fantatra ampiasaina hanaovana fanafihana.

CVE-2019-16777 toa amin'ny famoahana alohan'ny 6.13.4 ary mamela anao hanova ny rakitra azo tanterahana amin'ny rafitra mandritra ny fametrahana fonosana manerantany. Azonao atao ny manolo ny rakitra ao amin'ny lahatahiry kendrena izay ametrahana ireo rakitra azo tanterahana (matetika /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 miseho amin'ny famoahana alohan'ny 6.13.3 ary mamela anao hanoratra rakitra tsy misy dikany amin'ny famoronana rohy an'ohatra mankany amin'ny rakitra ivelan'ny lahatahiry misy modules (node_modules) na amin'ny fanodikodinana ny saha bin ao amin'ny package.json (lalana misy "/../" dia avela ao amin'ny saha bin).

Source: opennet.ru